マルウェア対策とファイル制御について
ライセンス: Protection、Malware、またはすべて
高度なマルウェア防御 機能を使用すると、ネットワークで伝送されるマルウェア ファイルを検出、追跡、分析し、(必要に応じて)ブロックするように ASA FirePOWER モジュールを設定できます。
システムは、PDF、Microsoft Office 文書など多数のファイル タイプに潜むマルウェアを検出し、オプションでブロックできます。ASA FirePOWER モジュールは、特定のアプリケーション プロトコル ベースのネットワーク トラフィック内で、これらのファイル タイプの伝送をモニタします。ASA FirePOWER モジュールは該当するファイルを検出します。次に、ASA FirePOWER モジュールは、ファイルの SHA-256 ハッシュ値を使用して マルウェア クラウド ルックアップ を実行します。これらの結果に基づき、Cisco クラウドは ASA FirePOWER モジュールにファイルの性質を返します。
クラウドにあるファイルの性質が不正確だとわかっている場合、次のようにして、ファイルの SHA-256 値をファイル リストに追加できます。
- クラウドが「クリーン」の性質を割り当てた場合と同じ方法でファイルを扱うには、そのファイルを クリーン リスト に追加します。
- クラウドが「マルウェア」の性質を割り当てた場合と同じ方法でファイルを扱うには、そのファイルを カスタム検出リスト に追加します。
あるファイルの SHA-256 値がファイル リスト内で検出されると、システムはマルウェア ルックアップの実行もファイルの性質の検査も行わずに、適切なアクションを実行します。ファイルの SHA 値を計算するには、[マルウェア クラウド ルックアップ(Malware Cloud Lookup)] アクションと [マルウェア ブロック(Block Malware)] アクションのどちらか、および一致するファイル タイプを使用して、ファイル ポリシー内のルールを設定する必要があることに注意してください。ファイル ポリシーごとに、クリーン リストまたはカスタム検出リストの使用を有効にできます。
ファイルを検査またはブロックするには、ASA FirePOWER モジュールで Protectionライセンスを有効にする必要があります。ファイルをファイル リストに追加するには、Malware ライセンスも有効にする必要があります。
ファイルの性質について
システムは、Cisco クラウドから返される性質に基づいてファイルの性質を決定します。Cisco クラウドから返された情報、ファイル リストへの追加操作、または脅威スコアに応じて、ファイルの性質は次のいずれかになります。
-
マルウェア(Malware)
:クラウドでそのファイルがマルウェアとして分類されていることを示します。
-
クリーン(Clean)
:クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーン リストに追加したことを示します。
-
不明(Unknown)
:クラウドが性質を割り当てる前にマルウェア クラウド ルックアップが行われたことを示します。クラウドはそのファイルをまだ分類していません。
-
カスタム検出(Custom Detection)
:ユーザがカスタム検出リストにファイルを追加したことを示します。
-
使用不可(Unavailable)
:ASA FirePOWER モジュールがマルウェア クラウド ルックアップを実行できなかったことを示します。この性質を持つイベントはごくわずかである可能性があります。これは予期された動作です。
ヒント 高速連続で複数の使用不可(Unavailable)
なマルウェア イベントが発生した場合は、クラウド接続およびポート設定を確認してください。詳細については、セキュリティ、インターネット アクセス、および通信ポートを参照してください。
ファイルの性質に応じ、ASA FirePOWER モジュールはファイルをブロックするか、あるいはそのアップロードまたはダウンロードをブロックします。パフォーマンスを改善させるため、SHA-256 値に基づくファイルの性質がシステムですでにわかっている場合、アプライアンスは Cisco クラウドへの照会はせず、キャッシュ済みの性質を使用します。
ファイルの性質は変更される可能性があることに注意してください。たとえば、クラウドによる判定の結果、以前はクリーンであると考えられていたファイルが今はマルウェアとして識別されるようになったり、その逆、つまりマルウェアと識別されたファイルが実際にはクリーンであったりする可能性があります。あるファイルに関するマルウェア ルックアップを先週実行した後、そのファイルの性質が変更された場合は、クラウドが ASA FirePOWER モジュールに通知を送ります。これにより、そのファイルの伝送が次回検出されたときにシステムは適切なアクションを実行できます。変更されたファイルの性質は、 レトロスペクティブ な性質と呼ばれます。
マルウェア クラウド ルックアップから戻されるファイルの性質には、存続可能時間(TTL)値が割り当てられています。ファイルの性質が更新されないまま、TTL 値で指定された期間にわたって保持された後は、キャッシュ情報が消去されます。各性質の TTL 値は、次のとおりです。
- クリーン(Clean):4 時間
- 不明(Unknown):1 時間
- マルウェア(Malware):1 時間
キャッシュに照らしたマルウェア クラウド ルックアップの結果、キャッシュ済み性質がタイムアウトになったことが識別されると、システムはファイルの性質を判別するために新しいルックアップを実行します。
ファイル制御について
マルウェア ファイル伝送のブロックに加えて、(マルウェアを含むかどうかにかかわらず)特定のタイプのすべてのファイルをブロックする必要がある場合は、 ファイル制御 機能により防御網を広げることができます。マルウェア防御の場合と同様に、ASA FirePOWER モジュールはネットワーク トラフィック内で特定のファイル タイプの伝送をモニタし、そのファイルをブロックまたは許可します。
システムでマルウェアを検出できるすべてのファイル タイプだけでなく、さらに多数のファイル タイプに対するファイル制御がサポートされています。これらのファイル タイプは、マルチメディア(swf、mp3)、実行可能ファイル(exe、トレント)、PDF などの基本的なカテゴリにグループ分けされます。ファイル制御はマルウェア防御とは異なり、Cisco クラウドへの照会を必要としないことに注意してください。
マルウェア防御とファイル制御の設定
ライセンス: Protection または Malware
ファイル ポリシーをアクセス コントロール ルールに関連付けることで、全体的なアクセス コントロール設定の一部として、マルウェア防御とファイル制御を設定します。この関連付けにより、アクセス コントロール ルールの条件と一致するトラフィック内のファイルを通過させる前に、システムは必ずファイルを検査するようになります。
ファイルのポリシーには、その親であるアクセス コントロール ポリシーと同様に、各ルールの条件に一致したファイルをシステムがどのように処理するかを決定するルールが含まれています。ファイル タイプ、アプリケーション プロトコル、転送方向の違いに応じて異なるアクションを実行する別個のファイル ルールを設定できます。
あるファイルがルールに一致する場合、ルールで以下を実行できます。
- 単純なファイル タイプ照合に基づいてファイルを許可またはブロックする
- マルウェア ファイルの性質に基づいてファイルをブロックする
さらに、ファイル ポリシーは、クリーン リストまたはカスタム検出リストのエントリに基づいて、自動的に、ファイルがクリーンまたはマルウェアである場合と同じようにファイルを扱うことができます。
単純な例として、ユーザによる実行可能ファイルのダウンロードをブロックするファイル ポリシーを導入できます。ファイル ポリシーについて、およびファイル ポリシーとアクセス コントロール ルールとの関連付けについての詳細は、ファイル ポリシーの概要と作成を参照してください。
マルウェア防御とファイル制御に基づくイベントのロギング
ライセンス: Protection または Malware
ASA FirePOWER モジュールは、システムによるファイル インスペクションおよびファイル イベント処理の記録と、次のマルウェア イベントのログを記録します。
- ファイル イベント は、システムがネットワーク トラフィック内で検出した(およびオプションでブロックした)ファイルを表します。
- マルウェア イベント は、システムがネットワーク トラフィック内で検出した(およびオプションでブロックした)マルウェア ファイルを表します。
- レトロスペクティブ マルウェア イベント は、ファイルの性質が「マルウェア」から変更されたファイルを表します。
ファイル内のマルウェアを検出するには、まずファイル自体を検出する必要があるため、システムは、ネットワーク トラフィック内のマルウェア検出またはブロックに基づいてマルウェア イベントを生成するときには、ファイル イベントも生成します。
ファイル ポリシーの概要と作成
ライセンス: Protection または Malware
ファイル ポリシーは、いくつかの設定からなるセットです。システムは全体的なアクセス コントロール設定の一部としてこれを使用して、高度なマルウェア防御とファイル制御を実行できます。
このポリシーには 2 つのアクセス コントロール ルールがあり、両方とも許可アクションを使用し、ファイル ポリシーに関連付けられています。このポリシーのデフォルト アクションもまた「トラフィックの許可」ですが、ファイル ポリシー インスペクションはありません。このシナリオでは、トラフィックは次のように処理されます。
-
ルール 1
に一致するトラフィックは ファイル ポリシー A
で検査されます。
-
ルール 1
に一致しないトラフィックは ルール 2
に照らして評価されます。 ルール 2
に一致するトラフィックは ファイル ポリシー B
で検査されます。
- どちらのルールにも一致しないトラフィックは許可されます。デフォルト アクションにファイル ポリシーを関連付けることはできません。
ファイルのポリシーには、その親であるアクセス コントロール ポリシーと同様に、各ルールの条件に一致したファイルをシステムがどのように処理するかを決定するルールが含まれています。ファイル タイプ、アプリケーション プロトコル、転送方向の違いに応じて異なるアクションを実行する別個のファイル ルールを設定できます。
ファイルがルールに一致すると、ルールは以下を実行できます。
- 単純なファイル タイプ照合に基づいてファイルを許可またはブロックする
- マルウェア ファイルの性質に基づいてファイルをブロックする
さらに、ファイル ポリシーは、クリーン リストまたはカスタム検出リストのエントリに基づいて、自動的に、ファイルがクリーンまたはマルウェアである場合と同じようにファイルを扱うことができます。
1 つのファイル ポリシーを、[許可(Allow)]、[インタラクティブ ブロック(Interactive Block)]、または [リセットしてインタラクティブ ブロック(Interactive Block with reset)] アクションを含むアクセス コントロール ルールに関連付けることができます。その後、システムはそのファイル ポリシーを使用して、アクセス コントロール ルールの条件を満たすネットワーク トラフィックを検査します。異なるファイル ポリシーを個々のアクセス コントロール ルールに関連付けることにより、ネットワークで伝送されるファイルを識別/ブロックする方法をきめ細かく制御できます。ただし、アクセス コントロールのデフォルト アクションによって処理されるトラフィックを検査するためにファイル ポリシーを使用 できない ことに注意してください。詳細については、許可されたトラフィックに対する侵入およびマルウェアの有無のインスペクションを参照してください。
ファイル ルール
ファイル ポリシーの中でファイル ルールを設定します。次の表に、ファイル ルールのコンポーネントを示します。
表 35-2 ファイル ルールのコンポーネント
|
|
アプリケーション プロトコル |
システムは、FTP、HTTP、SMTP、IMAP、POP3、および NetBIOS-ssn(SMB)を介して伝送されるファイルを検出し、検査できます。パフォーマンスを向上させるには、ファイル ルールごとに、これらのアプリケーション プロトコルのうち 1 つだけでファイルを検出するよう限定できます。 |
転送の方向 |
ダウンロードされるファイルに対して、FTP、HTTP、IMAP、POP3、および NetBIOS-ssn(SMB)の着信トラフィックを検査できます。アップロードされるファイルに対しては、FTP、HTTP、SMTP、および NetBIOS-ssn(SMB)の発信トラフィックを検査できます。 |
ファイルのカテゴリおよびタイプ |
システムは、さまざまなタイプのファイルを検出できます。これらのファイル タイプは、マルチメディア(swf、mp3)、実行可能ファイル(exe、トレント)、PDF などの基本的なカテゴリにグループ分けされます。個々のファイル タイプを検出したり、ファイル タイプ カテゴリ全体を検出したりするよう、ファイル ルールを設定できます。 たとえば、すべてのマルチメディア ファイルをブロックしたり、ShockWave Flash(swf)ファイルのみをブロックしたりできます。または、ユーザが BitTorrent(torrent)ファイルをダウンロードしたときにアラートを出すよう、システムを設定できます。
注意 頻繁にトリガーされるファイル ルールは、システム パフォーマンスに影響を与える可能性があります。たとえば、HTTP トラフィックでマルチメディア ファイルを検出しようとすると(たとえば YouTube は多量の Flash コンテンツを伝送します)、膨大な数のイベントが生成される可能性があります。
|
ファイル ルール アクション |
ファイル ルールのアクションによって、ルールの条件に一致したトラフィックをシステムが処理する方法が決定されます。 (注) ファイル ルールは数値上の順番ではなく、ルール アクションの順番で評価されます。詳細は、次の項ファイル ルール アクションと評価順序を参照してください。 |
ファイル ルール アクションと評価順序
各ファイル ルールには、ルールの条件に一致するトラフィックがシステムによってどのように処理されるかを決定する 1 つのアクションが関連付けられます。1 つのファイル ポリシー内に、ファイル タイプ、アプリケーション プロトコル、転送方向の違いに応じて異なるアクションを実行する別々のルールを設定できます。複数のルール アクションは、以下のようなルール アクション順になります。
- [ファイル ブロック(Block Files)] ルールを使用すると、特定のファイル タイプをブロックできます。
- [マルウェア ブロック(Block Malware)] ルールを使用すると、特定のファイル タイプの SHA-256 ハッシュ値を計算した後、クラウド ルックアップ プロセスを使用して、ネットワークを通過するファイルにマルウェアが含まれているかどうかまず判断し、脅威を示すファイルをブロックできます。
- [マルウェア クラウド ルックアップ(Malware Cloud Lookup)] ルールを使用すると、ネットワークを通過するファイルの伝送を許可しながら、クラウド ルックアップに基づいてそのファイルのマルウェアの性質をログに記録できます。
- [ファイル検出(Detect Files)] ルールを使用すると、ファイルの伝送を許可しながら、特定のファイル タイプの検出をログに記録できます。
各ファイル ルール アクションに対して、ファイル転送がブロックされると接続をリセットするというオプションを設定できます。次の表に、各ファイル アクションで使用可能なオプションの詳細を示します。
表 35-3 ファイル ルール アクション
|
|
ファイル ブロック(Block Files) |
はい(Yes)(推奨) |
マルウェア ブロック(Block Malware) |
はい(Yes)(推奨) |
ファイル検出(Detect Files) |
No |
マルウェア クラウド ルックアップ(Malware Cloud Lookup) |
No |
ファイルとマルウェアの検出、キャプチャ、およびブロッキングに関する注意事項と制約事項
ファイルとマルウェアの検出、キャプチャ、およびブロッキングの動作に関して、以下の詳細および制限に注意してください。
- ファイルがセッションで検出されブロックされるまで、セッションからのパケットは侵入インスペクションの対象になります。
- ファイルの終わりを示す End of File マーカーが検出されない場合、転送プロトコルとは無関係に、そのファイルは [マルウェア ブロック(Block Malware)] ルールでもカスタム検出リストでもブロックされません。システムは、End of File マーカーで示されるファイル全体の受信が完了するまでファイルのブロックを待機し、このマーカーが検出された後にファイルをブロックします。
- FTP ファイル転送で End of File マーカーが最終データ セグメントとは別に伝送される場合、マーカーがブロックされ、ファイル転送失敗が FTP クライアントに表示されますが、実際にはそのファイルは完全にディスクに転送されます。
- FTP は、さまざまなチャネルを介してコマンドおよびデータを転送します。パッシブ展開では、FTP データ セッションとその制御セッションからのトラフィックが同じ Snort に負荷分散されない場合があります。
- ファイルがアプリケーション プロトコル条件を持つルールに一致する場合、ファイル イベントの生成は、システムがファイルのアプリケーション プロトコルを正常に識別した後に行われます。識別されていないファイルは、ファイル イベントを生成しません。
- FTP に関する [マルウェア ブロック(Block Malware)] ルールを持つファイル ポリシーを使用するアクセス コントロール ポリシーでは、[インライン時にドロップ(Drop when Inline)] を無効にした侵入ポリシーをデフォルト アクションに設定した場合、システムはルールに一致するファイルやマルウェアの検出でイベントを生成しますが、ファイルをドロップしません。FTP ファイア転送をブロックし、ファイル ポリシーを選択するアクセス コントロール ポリシーのデフォルト アクションとして侵入ポリシーを使用するには、[インライン時にドロップ(Drop when Inline)] を有効にした侵入ポリシーを選択する必要があります。
- [ファイル ブロック(Block Files)] アクションおよび [マルウェア ブロック(Block Malware)] アクションを持つファイル ルールでは、最初のファイル転送試行後 24 時間で検出される、同じファイル、URL、サーバ、クライアント アプリケーションを使った新しいセッションをブロックすることにより、HTTP 経由のファイル ダウンロードの自動再開をブロックします。
- まれに、HTTP アップロード セッションからのトラフィックが不適切である場合、システムはトラフィックを正しく再構築できなくなり、トラフィックのブロックやファイル イベントの生成を行いません。
- [ファイル ブロック(Block Files)] ルールでブロックされる NetBIOS-ssn 経由ファイル転送(SMB ファイル転送など)の場合、宛先ホストでファイルが見つかることがあります。ただし、ダウンロード開始後にファイルがブロックされ、結果としてファイル転送が不完全になるため、そのファイルは使用できません。
- (SMB ファイル転送など)NetBIOS-ssn 経由で転送されるファイルを検出またはブロックするファイル ルールを作成した場合、ファイル ポリシーを呼び出すアクセス コントロール ポリシーの適用前に開始された、確立済み TCP または SMB セッションで転送されるファイルに対しては、検査が行われません。このため、これらのファイルは検出/ブロックされません。
- パッシブ展開でファイルをブロックするよう設定されたルールは、一致するファイルをブロックしません。接続ではファイル伝送が続行されるため、接続の開始をログに記録するルールを設定した場合、この接続に関して複数のイベントが記録されることがあります。
- POP3、POP、SMTP、または IMAP セッションでのすべてのファイル名の合計バイト数が 1024 を超えると、セッションのファイル イベントでは、ファイル名バッファがいっぱいになった後で検出されたファイルの名前が正しく反映されないことがあります。
- SMTP 経由でテキスト ベースのファイルを送信すると、一部のメール クライアントは改行を CRLF 改行文字標準に変換します。MAC ベースのホストはキャリッジ リターン(CR)文字を使用し、Unix/Linux ベースのホストはライン フィード(LF)文字を使用するので、メール クライアントによる改行変換によってファイルのサイズが変更される場合があります。一部のメール クライアントは、認識できないファイル タイプを処理する際に改行変換を行うようデフォルト設定されていることに注意してください。
- Cisco では、[ファイル ブロック(Block Files)] アクションと [マルウェア ブロック(Block Malware)] アクションで [接続のリセット(Reset Connection)] を有効にすることを推奨しています。これにより、ブロックされたアプリケーション セッションが TCP 接続リセットまで開いたままになることを防止できます。接続をリセットしない場合、TCP 接続が自身をリセットするまで、クライアント セッションが開いたままになります。
- [マルウェア クラウド ルックアップ(Malware Cloud Lookup)] アクションまたは [マルウェア ブロック(Block Malware)] アクションを使ってファイル ルールが設定されている場合、ASA FirePOWER モジュールがクラウドとの接続を確立できないと、クラウド接続が復元されるまで、システムは設定済みルール アクション オプションを実行できません。
ファイル ルールの評価例
番号順にルールが評価されるアクセス コントロール ポリシーとは異なり、ファイル ポリシーではファイル ルール アクションと評価順序に従ってファイルが処理されます。つまり、(優先度の高い順に)単純なブロッキング、次にマルウェア インスペクションとブロッキング、さらにその次に単純な検出とロギングとなります。例として、1 つのファイル ポリシー内に、PDF ファイルを処理する 4 つのルールがあるとします。これらのルールは、モジュール インターフェイスで表示される順序に関係なく、次の順序で評価されます。
表 35-4 ファイル ルールの評価順序の例
|
|
|
|
|
SMTP |
アップロード(Upload) |
ファイル ブロック(Block Files) |
接続のリセット(Reset Connection) |
ユーザが電子メールで PDF ファイルを送信することをブロックし、接続をリセットします。 |
FTP |
ダウンロード(Download) |
マルウェア ブロック(Block Malware) |
接続のリセット(Reset Connection) |
ファイル転送によるマルウェア PDF ファイルのダウンロードをブロックし、接続をリセットします。 |
POP3 IMAP |
ダウンロード(Download) |
マルウェア クラウド ルックアップ(Malware Cloud Lookup) |
none |
電子メールで受信した PDF ファイルに対し、マルウェア インスペクションを行います。 |
任意(Any) |
任意(Any) |
ファイル検出(Detect Files) |
none |
ユーザが Web 上で(つまり HTTP 経由で)PDF ファイルを表示すると、それを検出してログに記録しますが、トラフィックは許可します。 |
ASA FirePOWER モジュールでは、矛盾するファイル ルールを示すために警告アイコン( )を使用しています。
システムで検出されるすべてのファイル タイプに対してマルウェア分析を実行できるわけではないことに注意してください。[アプリケーション プロトコル(Application Protocol)]、[転送の方向(Direction of Transfer)]、および [アクション(Action)] ドロップダウン リストで値を選択すると、システムはファイル タイプのリストを限定します。
ファイル イベント、マルウェア イベント、およびアラートのロギング
ファイル ポリシーをアクセス コントロール ルールに関連付けると、一致するトラフィックに関するファイル イベントとマルウェア イベントのロギングが自動的に有効になります。ファイルを検査するときに、システムは次のタイプのイベントを生成できます。
- ファイル イベント :検出またはブロックされたファイル、および検出されたマルウェア ファイルを表します
- マルウェア イベント :検出されたマルウェア ファイルを表します
- レトロスペクティブ マルウェア イベント :以前に検出されたファイルのファイル性質が「マルウェア」から変更された場合に生成されます。
ファイル ポリシーによってファイル イベントまたはマルウェア イベントが生成されるか、ファイルがキャプチャされると、システムは、呼び出し元のアクセス コントロール ルールのロギング設定に関係なく、関連する接続の終了を自動的に記録します。
(注) NetBIOS-ssn(SMB)トラフィックのインスペクションによって生成されるファイル イベントは、即座には接続イベントを生成しません。これは、クライアントとサーバが持続的接続を確立するためです。システムはクライアントまたはサーバがセッションを終了した後に接続イベントを生成します。
これらの接続イベントごとに、
- [ファイル(Files)] フィールドには、接続で検出されたファイル数(マルウェア ファイルを含む)を示すアイコン(
)が含まれます。このアイコンをクリックすると、それらのファイルのリスト、およびマルウェア ファイルの性質が表示されます。
- [理由(Reason)] フィールドには、接続イベントがログに記録された理由が示されます。これはファイル ルール アクションに応じて次のように異なります。
– ファイル モニタ(File
Monitor):ファイル ルールが [ファイル検出(Detect Files)] および [マルウェア クラウド ルックアップ(Malware Cloud Lookup)] の場合、ならびにクリーン リスト内のファイルの場合
– ファイル ブロック(File
Block):ファイル ルールが [ファイル ブロック(Block Files)] ルールまたは [マルウェア ブロック(Block Malware)] の場合
– ファイル カスタム検出(File
Custom Detection):カスタム検出リストにあるファイルをシステムが検出した場合
– ファイル復帰許可(File
Resume Allow):ファイル送信がはじめに [ファイル ブロック(Block Files)] ルールまたは [マルウェア ブロック(Block Malware)] ファイル ルールによってブロックされた場合。ファイルを許可する新しいアクセス コントロール ポリシーが適用された後、HTTP セッションが自動的に再開しました。
– ファイル復帰ブロック(File
Resume Block):ファイル送信がはじめに [ファイル検出(Detect Files)] ルールまたは [マルウェア クラウド ルックアップ(Malware Cloud Lookup)] ファイル ルールによって許可された場合。ファイルをブロックする新しいアクセス コントロール ポリシーが適用された後、HTTP セッションが自動的に停止しました。
- ファイルやマルウェアがブロックされた接続では、[アクション(Action)] が [ブロック(Block)]
になります。
ファイル イベントやマルウェア イベントは、ASA FirePOWER モジュールによって生成される各種イベントと同様に、表示が可能です。また、SNMP や syslog によるマルウェア イベントのアラートも使用できます。
インターネット アクセス(Internet Access)
システムはポート 443 を使用して、ネットワーク ベース AMP のためのマルウェア クラウド ルックアップを実行します。ASA FirePOWER モジュールでこのポートをアウトバウンドに開く必要があります。
ファイル ポリシーの管理
[ファイル ポリシー(File Policies)] ページ([ポリシー(Policies)] > [ファイル(Files)])でファイル ポリシーの作成、編集、削除、および比較を行います。ここには既存のファイル ポリシーのリストと、それらの最終更新日が表示されます。
ファイル ポリシーの適用アイコン( )をクリックするとダイアログ ボックスが表示され、そのファイル ポリシーを使用するアクセス コントロール ポリシーが示された後、[アクセス コントロール ポリシー(Access Control Policy)] ページにリダイレクトされます。これは、ファイル ポリシーが親アクセス コントロール ポリシーの一部と見なされ、ファイル ポリシーを単独で適用できないためです。新しいファイル ポリシーを使用したり、既存のファイル ポリシーの変更内容を適用したりするには、親アクセス コントロール ポリシーを適用/再適用する必要があります。
保存済みまたは適用済みのアクセス コントロール ポリシーで使用中のファイル ポリシーは削除できないことに注意してください。
ファイル ポリシーの管理の詳細については、次の項を参照してください。
ファイル ポリシーの作成
ライセンス: Protection または Malware
ファイル ポリシーを作成して、その中でルールを設定すると、それをアクセス コントロール ポリシーで使用できるようになります。
ヒント 既存のファイル ポリシーのコピーを作成するには、コピー アイコン()をクリックして、表示されるダイアログ ボックスで新しいポリシーの固有名を入力します。その後、そのコピーを変更できます。
ファイル ポリシーを作成する方法:
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [ファイル(Files)] の順に選択します。
[ファイル ポリシー(File Policies)] ページが表示されます。
新しいポリシーの場合、ポリシーが使用中でないことがモジュール インターフェイスに示されます。使用中のファイル ポリシーを編集している場合は、そのファイル ポリシーを使用しているアクセス コントロール ポリシーの数がモジュール インターフェイスに示されます。どちらの場合も、テキストをクリックすると [アクセス コントロール ポリシー(Access Control Policies)] ページに移動できます(アクセス コントロール ポリシーの準備を参照)。
手順 2 新しいポリシーの [名前(Name)] とオプションの [説明(Description)] を入力してから、[保存(Save)] をクリックします。
[ファイル ポリシー ルール(File Policy Rules)] タブが表示されます。
手順 3 ファイル ポリシーに 1 つ以上のルールを追加します。
ファイル ルールを使用すると、ロギング、ブロック、またはマルウェア スキャンの対象となるファイル タイプを詳細に制御できます。ファイル ルールの追加については、ファイル ルールの操作を参照してください。
手順 4 詳細オプションを設定します。詳細については、ファイル ポリシーの詳細オプション([一般(General)])の設定を参照してください。
手順 5 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
新しいポリシーを使用するには、アクセス コントロール ルールにファイル ポリシーを追加してから、アクセス コントロール ポリシーを適用する必要があります。既存のファイル ポリシーを編集している場合は、そのファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。
ファイル ルールの操作
ライセンス: Protection または Malware
効果を発揮するには、ファイル ポリシーに 1 つ以上のルールが含まれている必要があります。新しいファイル ポリシーを作成するとき、または既存のポリシーを編集するときに表示される [ファイル ポリシー ルール(File Policy Rules)] ページで、ルールを作成、編集、および削除します。このページには、ポリシー内のすべてのルールがリストされ、各ルールの基本的な特性も示されます。
また、このページでは、このファイル ポリシーを使用するアクセス コントロール ポリシーの数も通知されます。この通知をクリックすると、親ポリシーのリストが表示され、オプションで [アクセス コントロール ポリシー(Access Control Policies)] ページに進むことができます。
ファイル ルールを作成する方法:
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [ファイル(Files)] の順に選択します。
[ファイル ポリシー(File Policies)] ページが表示されます。
手順 2 次の選択肢があります。
- 新しいポリシーにルールを追加するには、[新しいファイル ポリシー(New File Policy)] をクリックして、新しいポリシーを作成します(ファイル ポリシーの作成を参照)。
- 既存のポリシーにルールを追加するには、ポリシーの横にある編集アイコン(
)をクリックします。
手順 3 表示される [ファイル ポリシー ルール(File Policy Rules)] ページで、[ファイル ルールの追加(Add File Rule)] をクリックします。
[ファイル ルールの追加(Add File Rule)] ダイアログ ボックスが表示されます。
手順 4 ドロップダウンリストから、[アプリケーション プロトコル(Application Protocol)] を選択します。
デフォルトの [任意(Any)] は、HTTP、SMTP、IMAP、POP3、FTP、および NetBIOS-ssn(SMB)トラフィック内のファイルを検出します。
手順 5 ドロップダウンリストから [転送の方向(Direction of Transfer)] を選択します。
ダウンロードされるファイルに関して、以下のタイプの着信トラフィックを検査できます。
- HTTP
- IMAP
- POP3
- FTP
- NetBIOS-ssn(SMB)
アップロードされるファイルに関して、以下のタイプの発信トラフィックを検査できます。
- HTTP
- FTP
- SMTP
- NetBIOS-ssn(SMB)
[Any] を使用すると、ユーザが送信しているか受信しているかには関係なく、多数のアプリケーション プロトコルを介したファイルが検出されます。
手順 6 ファイル ルールの [アクション(Action)] を選択します。詳細については、 ファイル ルール アクション の表を参照してください。
[ファイル ブロック(Block Files)] または [マルウェア ブロック(Block Malware)] を選択すると、[接続のリセット(Reset Connection)] がデフォルトで有効になります。ファイル転送のブロックが発生した接続をリセット しない ようにするには、[接続のリセット(Reset Connection)] チェックボックスをクリアします。
(注) Cisco では、[接続のリセット(Reset Connection)] を有効のままにしておくことを推奨しています。これにより、ブロックされたアプリケーション セッションが TCP 接続リセットまで開いたままになることを防止できます。
ファイル ルールのアクションの詳細については、ファイル ルール アクションと評価順序を参照してください。
手順 7 [ファイル タイプ(File Types)] を 1 つ以上選択します。複数のファイル タイプを選択するには、Shift キーと Ctrl キーを使用します。ファイル タイプのリストを、次のようにフィルタ処理できます。
- [ファイル タイプ カテゴリ(File Type Categories)] を 1 つ以上選択します。
- 名前または説明でファイル タイプを検索します。たとえば、Microsoft Windows 固有のファイルのリストを表示するには、[名前および説明の検索(Search name and description)] フィールドに
Windows
と入力します。
ファイル ルールで使用できるファイル タイプは、[アプリケーション プロトコル(Application Protocol)] 、[転送の方向(Direction of Transfer)] 、および [アクション(Action)] での選択内容に応じて変化します。
たとえば、[転送の方向(Direction of Transfer)]
で
[ダウンロード(Download)]
を選択すると、ファイル イベントが過剰になることを防止するために、[グラフィック(Graphics)]
カテゴリから
[GIF]、[PNG]、[JPEG]、[TIFF]、および [ICO] が削除されます。
手順 8 選択したファイル タイプを [選択済みのファイル カテゴリとタイプ(Selected Files Categories and Types)] リストに追加します。
- [追加(Add)] をクリックすると、選択したファイル タイプがルールに追加されます。
- 1 つ以上のファイル タイプを [選択済みのファイル カテゴリとタイプ(Selected Files Categories and Types)] リストの中にドラッグ アンド ドロップします。
- カテゴリを選択して [選択済みカテゴリにあるすべてのタイプ(All types in selected Categories)] をクリックしてから、[追加(Add)] をクリックするか、選択項目を [選択済みのファイル カテゴリとタイプ(Selected Files Categories and Types)] リストの中にドラッグ アンド ドロップします。
手順 9 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
ファイル ルールがポリシーに追加されます。既存のファイル ポリシーを編集している場合、変更内容を有効にするには、そのファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。
ファイル ポリシーの詳細オプション([一般(General)])の設定
ライセンス: Malware
ファイル ポリシーでは、[一般(General)] セクションにある以下の詳細オプションを設定できます。
表 35-5 ファイル ポリシーの詳細オプション([一般(General)])
|
|
|
カスタム検知リストを有効にする(Enable Custom Detection List) |
これを選択すると、カスタム検出リストにあるファイルが検出されたときに、そのファイルをブロックします。 |
有効(enabled) |
クリーンリストを有効にする(Enable Clean List) |
これを選択すると、クリーン リストにあるファイルが検出されたときに、そのファイルを許可します。 |
有効(enabled) |
ファイル ポリシーの詳細オプション([一般(General)])を設定するには、次の手順を実行します。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [ファイル(Files)] の順に選択します。
[ファイル ポリシー(File Policies)] ページが表示されます。
手順 2 編集するポリシーの横にある編集アイコン( )をクリックします。
[ファイル ポリシー ルール(File Policy Rules)] ページが表示されます。
手順 3 [詳細設定(Advanced)] タブを選択します。
[詳細設定(Advanced)] タブが表示されます。
手順 4 ファイル ポリシーの詳細オプション([一般(General)]) の表に示すようにオプションを変更します。
手順 5 [ASA FirePOWER の変更の保存(Store ASA FirePOWER Changes)] をクリックします。
編集したファイル ポリシーを使用するすべてのアクセス コントロール ポリシーを再適用する必要があります。
2 つのファイル ポリシーの比較
ライセンス: Protection
変更後のポリシーが組織の標準に準拠することを確かめたり、システム パフォーマンスを最適化したりする目的で、任意の 2 つのファイル ポリシー間の違いや、同じポリシーの 2 つのリビジョン間の違いを調べることができます。
ファイル ポリシーの 比較ビュー には、2 つのポリシーまたはリビジョンが並んで表示され、各ポリシー名の横には最終変更時刻と最後に変更したユーザが表示されます。2 つのポリシー間の差異は、次のように強調表示されます。
- 青色は強調表示された設定が 2 つのポリシーで異なることを示し、差異は赤色で示されます。
- 緑色は強調表示された設定が一方のポリシーには存在するが、他方には存在しないことを示します。
[前へ(Previous)] と [次へ(Next)] をクリックすると、前後の相違箇所に移動できます。左側と右側の間にある二重矢印アイコン( )が移動し、表示している違いを示す [差異(Difference)] 番号が変わります。オプションで、ファイル ポリシーの 比較レポート を生成できます。これは PDF 版の比較ビューです。
2 つのファイル ポリシーを比較する方法:
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ポリシー(Policies)] > [ファイル(Files)] の順に選択します。
[ファイル ポリシー(File Policies)] ページが表示されます。
手順 2 [ポリシーの比較(Compare Policies)] をクリックします。
[比較の選択(Select Comparison)] ダイアログ ボックスが表示されます。
手順 3 [比較対象(Compare Against)] ドロップダウン リストから、比較するタイプを次のように選択します。
- 2 つの異なるポリシーを比較するには、[実行中の設定(Running Configuration)] または [他のポリシー(Other Policy)] を選択します。この 2 つのオプションの違いは、[実行中の設定(Running Configuration)] を選択した場合、現在適用されている一連のファイル ポリシーの中からのみ、比較対象の 1 つを選択できます。
- 同じポリシーの複数のバージョンを比較するには、[その他のリビジョン(Other Revision)] を選択します。
ダイアログ ボックスの表示が更新され、比較オプションが示されます。
手順 4 選択した比較タイプに応じて、次のような選択肢があります。
- 2 つの異なるポリシーを比較する場合、比較対象のポリシーとして [ポリシー A(Policy A)] または [ターゲット/実行中の設定 A(Target/Running Configuration A)] のどちらかと、[ポリシー B(Policy B)] とを選択します。
- 同じポリシーのバージョン間を比較する場合、対象の [ポリシー(Policy)] を選択してから、2 つのリビジョン [リビジョン A(Revision A)] と [リビジョン B(Revision B)] を選択します。リビジョンは、日付とユーザ名別にリストされます。
手順 5 [OK] をクリックします。
比較ビューが表示されます。
手順 6 オプションで、[比較レポート(Comparison Report)] をクリックして、ファイル ポリシー比較レポートを生成します。コンピュータにレポートを保存するように求められます。